Iskustva iz DPO prakse
Nedavno smo se susreli s politikom privatnosti u kojoj je za sve osobne podatke, za koje zakon nije propisao određeni rok čuvanja niti postoji druga valjana osnova za njihovu obradu, propisan rok pohrane od 5 godina – bez obzira što se ti podaci više ne obrađuju i što se ispunila svrha za koju su se prikupljali.
Takav rok činio nam se pretjeran i zato smo od voditelja obrade zatražili šire obrazloženje.
U obrazloženju koje smo dobili stoji da je takav rok određen temeljem članka 225.
Zakona o obveznim odnosima kojim se određuje opći rok zastare za tražbine.
Međutim, prava koja proizlaze za svakog pojedinca temeljem GDPR-a nisu
„tražbina ili potraživanje“.
„
Tražbina ili potraživanje je zahtjev vjerovnika (zaštićen obveznim pravom) da mu dužnik izvrši određenu činidbu. Zahtjev za određeno davanje ili činjenje može se odnositi i na trpljenje ili propuštanje. Tražbine se smatraju tekućom imovinom poduzeća, ako su naplative u roku od godine dana (tu se ubrajaju potraživanja od kupaca, izdani depoziti i kaucije, različite kratkoročne tražbine od povezanih poduzeća i pridruženih poduzeća, izdani financijski krediti s rokom otplate do godine dana, potraživanja od državnih organa, od radnika i sl.), u suprotnom spadaju u stalnu imovinu." Izvor:
Enciklopedija Iz definicije vidimo da pravo na zaštitu osobnih podataka nije „tražbina/potraživanje“ da bi se mogli pozivati na zakon/druge propise kojima se uređuju pitanja potraživanja, a samim time ni na rokove kojima se uređuju takvi odnosi stoga opći zastarni rok nije kao takav primjenjiv u uređenju organizacijskih mjera zaštite osobnih podataka.
GDPR propisuje obvezu da se podaci čuvaju u obliku koji omogućuje identifikaciju osobe samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (osim ako se radi o arhiviranju u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe). Zato kada nas neki od zakona ne obvezuje na čuvanje osobnih podataka niti imamo drugu zakonitu osnovu za njihovu obradu (time i pohranu), potrebno je voditi računa da se takvi podaci ne zadržavaju duže nego li je to potrebno za svrhu za koju su prikupljeni.